<!--
  ~ Copyright (c) 2020 Ubique Innovation AG <https://www.ubique.ch>
  ~
  ~ This Source Code Form is subject to the terms of the Mozilla Public
  ~ License, v. 2.0. If a copy of the MPL was not distributed with this
  ~ file, You can obtain one at https://mozilla.org/MPL/2.0/.
  ~
  ~ SPDX-License-Identifier: MPL-2.0
  -->
<p>
 Utilisation de l’application SwissCovid: déclaration de confidentialité de l’Office fédéral de la santé publique
</p>
<p>
 Version : 1 juillet 2021
</p>
<p>
 Dans la présente déclaration de confidentialité, l’Office fédéral de la santé publique (OFSP) explique dans quelle mesure il traite les données personnelles en lien avec l’utilisation de l’application SwissCovid (ci-après « l’application ») en suisse. Il ne s’agit pas d’un descriptif exhaustif ; certains éléments spécifiques peuvent être réglés dans des déclarations de confidentialité supplémentaires, des documents similaires, des conditions d’utilisation ou des programmes d’application.
</p>
<p>
 La législation sur la protection des données règle le traitement de données personnelles. Dans ce domaine, la législation fédérale sur la protection des données s’applique. La déclaration de confidentialité est en outre conforme à la loi du 28 septembre 2012 sur les épidémies (LEp ; RS
 <em>
  818.101
 </em>
 ), à l’ordonnance du 24 juin 2020 sur le système de traçage de proximité pour le coronavirus SARS-CoV-2 (OSTP ; RS
 <em>
  818.101.25
 </em>
 ), à la loi fédérale du 25 septembre 2020 sur les bases légales des ordonnances du Conseil fédéral visant à surmonter l’épidémie de COVID-19 (loi COVID-19 ; RS
 <em>
  808.102
 </em>
 ) et à l’ordonnance du 30 juin 2021 sur un système visant à informer d’une infection possible au coronavirus SARS-CoV-2 lors de manifestations (OSIM ; RS 818.102.4).
</p>
<p>
 On entend par données personnelles toutes les informations qui se rapportent à une personne identifiée ou identifiable. Par traitement, on entend toute opération relative à des données personnelles – quels que soient les moyens et procédés utilisés – notamment la collecte, la conservation, l’exploitation, la modification, la communication, l’archivage ou la destruction de données.
</p>
<h1>
 <a id="_Ref514319024">
 </a>
 <a id="_Ref514345972">
 </a>
 Responsable
</h1>
<p>
 Le responsable du traitement des données décrit dans le présent document est l’
 <br/>
 <br/>
 Office de la santé publique OFSP
 <br/>
 3003 Berne
 <br/>
 Suisse
 <br/>
 Tél. +41 58 462 69 98
 <br/>
 recht(at)bag.admin.ch
</p>
<h1>
 Collecte et traitement de données personnelles
</h1>
<p>
 Tout le système de l’application est conçu de manière à ce que ses utilisateurs ne soient pas identifiables. Le traitement de données personnelles est réduit au minimum. Ainsi, aucune indication technique sur les personnes, les lieux ou les appareils n’est possible. Les géolocalisations ne sont pas enregistrées lors d’un contact via traçage de proximité ; seules des données cryptées relatives aux contacts ayant eu lieu sont saisies. Le système d’alerte n’enregistre que des données cryptées concernant les manifestations et les risques d’infections qu’elles présentent. Ces données sont techniquement protégées de toute utilisation abusive. L’OFSP ne peut tirer aucune conclusion concernant les utilisateurs de l’application ni décrypter les données. Cette dernière protège les données des utilisateurs de telle sorte qu’aucun lien ne peut être établi avec une personne précise sur de longues distances. Un rattachement à un individu ne peut toutefois pas être totalement exclu, en particulier pour le système de traçage de proximité. Il existe en effet une certaine probabilité qu’une personne alertée d’un possible risque d’infection puisse éventuellement tirer des conclusions sur l’identité de la personne infectée, en se remémorant les contacts sociaux qu’elle a eus au cours des derniers jours. Les personnes qui utilisent l’application sont donc potentiellement identifiables. La notification déclenchée par un contact étroit avec un utilisateur testé positif inclut les règles de conduite recommandées par l’OFSP, l’information selon laquelle la personne a pu être exposée au coronavirus, la mention des jours où cela s’est produit ainsi que l’indication que l’OFSP propose un guide (formulaire en ligne) et une infoline de conseil gratuit. Lorsque l’utilisateur quitte l’application pour remplir le guide, les jours d’infection potentielle indiqués dans l’application sont automatiquement transmis au guide. La notification due à la fonction
 <em>
  Check-in
 </em>
 comprend les points ci-dessus, à l’exception du renvoi au guide et à l’infoline ; cette notification vise principalement à inciter la personne contactée à se faire tester.
</p>
<ul>
 <li>
  Le système de l’application se divise en trois composantes :
 </li>
 <li>
  un système pour gérer les données relatives aux situations de rapprochement, comprenant un logiciel que les utilisateurs installent sur leur téléphone portable ainsi qu’un
  <em>
   backend
  </em>
  (
  <em>
   backend
  </em>
  GR) ;
 </li>
 <li>
  un système de gestion des codes d’autorisation des notifications, comprenant un
  <em>
   frontend
  </em>
  et un
  <em>
   backend web
  </em>
  ;
 </li>
 <li>
  un système pour gérer les manifestations, comprenant un logiciel que les utilisateurs installent sur leur téléphone portable ainsi qu’un
  <em>
   backend
  </em>
  (
  <em>
   backend
  </em>
  manifestations).
 </li>
 <li>
  Les trois
  <em>
   backends
  </em>
  , en tant que serveur central, sont placés directement sous le contrôle de l’OFSP et gérés sur le plan technique par l’Office fédéral de l’informatique (OFIT). Les
  <em>
   frontends
  </em>
  de gestion des codes fonctionnent sur les appareils des professionnels autorisés à créer des codes d’autorisation (codes COVID).
 </li>
</ul>
<p>
 L’application enregistre les données suivantes sur le téléphone portable:
</p>
<ul>
 <li>
  les codes d’identification (ID aléatoires) reçus des autres téléphones portables où l’application est activée ;
 </li>
 <li>
  la puissance du signal ;
 </li>
 <li>
  la date et la durée estimée de la situation de rapprochement ;
 </li>
 <li>
  le code d’identification de la manifestation avec sa date, sa durée et sa description.
 </li>
</ul>
<p>
 Si l’infection d’un utilisateur est confirmée, les données suivantes sont enregistrées dans le système de gestion des codes :
</p>
<ul>
 <li>
  le code d’autorisation (code COVID) ;
 </li>
 <li>
  la date à laquelle les symptômes sont apparus ou, si l’utilisateur infecté ne présente pas de symptômes, la date du test ;
 </li>
 <li>
  la date de la destruction de ces données.
 </li>
</ul>
<p>
 Le
 <em>
  backend
 </em>
 GR est constitué de la liste de données suivantes :
</p>
<ul>
 <li>
  les clés privées de l’utilisateur infecté qui étaient actuelles durant la période où d’autres personnes ont pu être infectées ;
 </li>
 <li>
  la date de chaque clé.
 </li>
</ul>
<p>
 Le
 <em>
  backend
 </em>
 manifestations comprend une liste des données suivantes :
</p>
<ul>
 <li>
  le code d’identification de la manifestation où les participants infectés s’étaient rendus alors qu’ils auraient pu transmettre le virus ;
 </li>
 <li>
  la date de chaque code d’identification de la manifestation ;
 </li>
 <li>
  la période cryptée pertinente du participant infecté par code d’identification de la manifestation.
 </li>
</ul>
<p>
 En outre, le système de traçage de proximité peut être relié à d’autres systèmes étrangers correspondants si un niveau adéquat de protection de la personnalité est assuré dans l’État concerné (par la législation ou par des garanties suffisantes, notamment contractuelles). Les systèmes étrangers sont ainsi réputés « correspondants » s’ils sont configurés suivant les principes ci-après du système de l’application :
</p>
<ul>
 <li>
  Lors du traitement des données, toutes les mesures techniques et organisationnelles appropriées doivent être prises pour éviter que les participants ne puissent être identifiés ;
 </li>
 <li>
  Dans la mesure du possible, les données sont traitées sur des composants décentralisés que les participants installent sur leur téléphone portable ; en particulier, les données enregistrées sur le téléphone portable d’un participant concernant d’autres participants sont traitées et enregistrées exclusivement sur ce téléphone ;
 </li>
 <li>
  Ne sont récoltées ou traitées d’une manière ou d’une autre que les données nécessaires pour déterminer la distance et le moment des rapprochements et pour émettre les notifications, mais aucune donnée concernant la localisation ;
 </li>
 <li>
  Les données sont détruites dès qu’elles ne sont plus nécessaires pour la notification.
 </li>
</ul>
<p>
 Il existe actuellement une liaison avec l’application Corona-Warn utilisée en Allemagne. Lors de la liaison, le
 <em>
  backend
 </em>
 GR et le système étranger sont raccordés à un système de liaison pour permettre la transmission réciproque des clés privées des participants infectés. Le système de l’application transmet ainsi les clés privées de l’application au système de liaison et enregistre sur le
 <em>
  backend
 </em>
 GR les clés privées des applications étrangères reliées.
</p>
<h1>
 <a id="_Ref514335291">
 </a>
 Buts et bases légales
</h1>
<p>
 Le système d’application exploité par l’OFSP ainsi que le système de liaison se fondent sur la LEp, l’OSTP, la loi COVID-19 et l’OSAM. L’application et le traitement des données entrantes par ce moyen servent exclusivement à informer les utilisateurs potentiellement exposés au coronavirus, tout en respectant la protection des données, et à établir des statistiques en lien avec le coronavirus à l’aide de données issues des trois
 <em>
  backends
 </em>
 .
</p>
<p>
 Le système de liaison rend également possible la transmission d’une telle information entre deux applications nationales reliées. Les utilisateurs de l’application peuvent ainsi également être informés s’il y a eu une situation de rapprochement avec des utilisateurs infectés d’une application étrangère (p. ex. avec des frontaliers et des touristes en Suisse ou avec des contacts à l’étranger). De même, les utilisateurs d’une application étrangère reliée peuvent également être informés s’il y a eu une situation de rapprochement avec des utilisateurs infectés de l’application.
</p>
<h1>
 Transmission des données
</h1>
<p>
 La liste des données du
 <em>
  backend
 </em>
 GR et du
 <em>
  backend
 </em>
 manifestations est mise à la disposition de l’application (ou
 <em>
  frontend
 </em>
 ) dans la procédure d’appel. Si l’OFSP mandate des tiers, suisses ou de l’étranger, ces opérateurs s’engagent contractuellement à respecter les prescriptions de l’art. 60
 <em>
  a
 </em>
 LEp, de l’OSTP, de l’art. 3, al. 7, let. a, de la loi COVID-19 et de l’OSAM. En est exclue la réglementation concernant le code source en vertu de l’art. 60
 <em>
  a
 </em>
 , al. 5, let. e, LEp et de l’art. 15 OSAM. L’OFSP contrôle le respect des prescriptions. Les tiers mandatés n’ont pas le droit d’utiliser à des fins personnelles les données secondaires générées durant l’exécution du contrat. Ces données sont analysées seulement par l’OFSP ou par l’OFIT (cf. ch. 8).
</p>
<p>
 La liste contenant les clés privées des utilisateurs infectés du
 <em>
  backend
 </em>
 GR est en outre régulièrement transmise au système de liaison pour une information transfrontalière. Ensuite les systèmes étrangers reliés (actuellement l’application Corona-Warn utilisée en Allemagne) téléchargent ces clés privées et les tiennent à disposition de leurs applications pour extraction (cf. ch. 2).
</p>
<p>
 L’OFSP met régulièrement à la disposition de l’Office fédéral de la statistique (OFS) le stock actuel de données existantes dans les trois
 <em>
  backends
 </em>
 sous forme anonymisée. Les données du système de liaison peuvent être communiquées sous forme anonymisée à l’OFS et au service étranger compétent à des fins de statistiques. L’OFIT gère le logiciel dans son ensemble sur mandat de l’OFSP et fournit le service de soutien technique requis. L’OFIT a uniquement accès à des données lorsque cela s’avère nécessaire pour les buts et les activités spécifiques des collaborateurs concernés. Ces derniers sont tenus à la confidentialité lorsqu’ils traitent les données.
</p>
<p>
 Pour le système de traçage de proximité, l’application utilise une interface reliée au système d’exploitation du téléphone portable de l’utilisateur, qui nécessite le traitement des données par Apple ou Google. Les fonctionnalités des systèmes d’exploitation utilisées par l’interface doivent remplir les prescriptions de l’art. 60
 <em>
  a
 </em>
 LEp et de l’ordonnance COVID-19 sur l’essai pilote du traçage de proximité. En est exclue la réglementation concernant le code source en vertu de l’art. 60
 <em>
  a
 </em>
 , al. 5, let. e, LEp. L’OFSP veille à ce que cette prescription soit respectée, notamment en obtenant les assurances correspondantes.
</p>
<h1>
 <a id="_Ref514399992">
 </a>
 Durée de conservation
</h1>
<p>
 Les données sont supprimées dès qu’elles ne sont plus nécessaires pour la notification des utilisateurs. Elles sont supprimées comme suit :
</p>
<ul>
 <li>
  données du système servant à gérer les données relatives aux rapprochements (aussi bien dans le téléphone portable que dans le
  <em>
   backend
  </em>
  GR) : 14 jours après leur saisie ;
 </li>
 <li>
  données du système servant à gérer les manifestations (aussi bien dans le téléphone portable que dans le
  <em>
   backend
  </em>
  manifestations) : 14 jours après leur saisie ;
 </li>
 <li>
  données du système des codes : 24 heures après leur saisie ;
 </li>
 <li>
  données du système de liaison : au maximum 14 jours après leur transmission au système de liaison.
 </li>
</ul>
<h1>
 Sécurité des données
</h1>
<p>
 Afin de protéger les données contre des accès non autorisés, des pertes ou des utilisations abusives, l’OFSP, en étroite collaboration avec ses fournisseurs d’hébergement internes et externes et avec d’autres prestataires informatiques, prend des mesures de sécurité adéquates, de nature technique (p. ex., cryptage, pseudonymisation, historique, contrôles d’accès, limitations d’accès, sécurité des données, solutions concernant la sécurité des technologies informatiques et des réseaux, etc.) et de nature organisationnelle ( p. ex., directives aux collaborateurs, contrats de confidentialité, contrôles, etc.) conformément aux prescriptions de l’administration fédérale et de la législation fédérale en matière de protection des données.
</p>
<h1>
 Droits des personnes concernées
</h1>
<p>
 Vous avez le droit à l’information, à la rectification, à l’effacement, ou à la remise de vos données. Vous avez également le droit d’exiger la limitation du traitement des données et le droit de contester la manière dont vos données sont traitées. Par ailleurs, vous avez le droit de révoquer vos autorisations, sans que la licéité du traitement des données effectué jusque-là ne soit affectée. Ces droits s’appliquent pour autant qu’il existe des données personnelles. Le principe du «
 <em>
  privacy by design
 </em>
 », au cœur de l’application, est conçu, grâce à des méthodes cryptographiques innovantes et à un traitement décentralisé des données, pour éviter autant que possible de disposer d’informations sur des personnes identifiées ou identifiables (données personnelle). Pour cette raison, l’OFSP n’a pas la possibilité, par exemple, de fournir d’informations concernant les rapprochements enregistrés pour une personne ou de rectifier ces données. L’OFSP ne peut pas consulter ces données, étant donné qu’elles sont sauvegardées uniquement sur les téléphones portables.
</p>
<p>
 L’exercice de ces droits implique que vous décliniez clairement votre identité (p. ex., au moyen d’une copie de votre pièce d’identité). Pour faire valoir vos droits, vous pouvez contacter l’OFSP à l’adresse indiquée au chiffre 1.
</p>
<p>
 En cas d’infraction au droit de la protection des données, vous pouvez vous adresser à l’autorité de contrôle de la protection des données compétente ou saisir la justice en invoquant la législation sur la protection des données.
</p>
<h1>
 Autres
</h1>
<p>
 Des journaux des accès au
 <em>
  backend
 </em>
 GR, au
 <em>
  backend
 </em>
 manifestations et au système de contrôle du code source sont enregistrés pour les buts fixés aux art. 57
 <em>
  l
 </em>
 à 57
 <em>
  o
 </em>
 de la loi sur l’organisation du gouvernement et de l’administration (LOGA ; RS
 <em>
  172.010
 </em>
 ). Ils peuvent être analysés à des fins statistiques. Les art. 57
 <em>
  i
 </em>
 –57
 <em>
  q
 </em>
 LOGA et l’ordonnance du 22 février 2012 sur le traitement des données personnelles liées à l’utilisation de l’infrastructure électronique de la Confédération (RS
 <em>
  172.010.442
 </em>
 ) s’appliquent.
</p>
<p>
 Les données relatives à l’historique sont détruites comme suit :
</p>
<ul>
 <li>
  par des tiers mandatés par l’OFSP : sept jours après leur saisie ;
 </li>
 <li>
  en outre, la destruction de ces données est conforme à l’art. 4, al. 1, let. b de l’ordonnance du 22 février 2012 sur le traitement des données personnelles liées à l’utilisation de l’infrastructure électronique de la Confédération (RS
  <em>
   172.010.442
  </em>
  ).
 </li>
</ul>
<h1>
 Modifications
</h1>
<p>
 L’OFSP peut adapter la présente déclaration de confidentialité à tout moment, sans préavis. La version actuelle publiée et la version valable pour la période concernée s’appliquent. La présente déclaration de confidentialité a été rédigée en plusieurs langues. La version allemande fait foi en cas de divergences. En cas d’actualisation, les utilisateurs de l’application sont informés des changements de manière adéquate.
</p>
<p>
 *****
</p>